迟到总比不到好。在发现 Shellshock 重大缺陷近一周后,苹果终于为其 Mac OS X 操作系统的最新三个版本(即 Lion、Mountain Lion 和 Mavericks)发布了补丁。这些补丁是可以下载的在苹果网站上,但也应该通过自动更新程序发布。
提醒一下,Shellshock 缺陷涉及 Bash 命令解释器,该解释器默认安装在许多 Unix、Linux 和 Mac OS 命令行界面中。苹果是这个故事中最后做出反应的公司之一。
其他供应商(例如 Red Hat、Ubuntu 和 Debian)速度更快,早在上周就发布了补丁。然而,根据苹果品牌的说法,对其客户来说风险并不是很高:除非服务器软件(例如 SSH 或 Web 服务器)已激活,否则无法在 Mac 计算机上利用该漏洞。这是一个相当罕见的用例。
另一方面,我们可以遗憾的是,苹果没有提供有关实际修补内容的信息。事实上,自从 9 月 24 日发现 Shellshock 断层以来,至少其他五个或多或少危险的缺陷此后在 Bash 中被揭示,所有这些都与相同的原始问题有关(即:能够使用环境变量来定义函数,从而允许代码注入)。
另请阅读:
安全性:“Shellshock”重大缺陷震撼了 Linux 和 Mac OS 世界, 25/09/2014
Shellshock 重大缺陷:Apple 让 Macintosh 用户放心,于 27/09/2014
独家专访:“偶然发现了Shellshock漏洞”,于 26/09/2014
